Compliance-Lexikon · Governance
Records Management
[ˈrɛkədz ˈmænɪdʒmənt] · auch: Aktenmanagement, Aufbewahrungsmanagement, Dokumentenmanagement
Records Management bezeichnet den systematischen Prozess der Verwaltung von Geschäftsunterlagen – von der Erstellung über Klassifizierung und Aufbewahrung bis zur sicheren Löschung nach Ablauf gesetzlicher Aufbewahrungsfristen.
Warum Records Management ein Governance-Kernbegriff ist
Records Management ist eine der Grundanforderungen jedes reifen IT-Compliance-Programms. Die relevanten Frameworks – ISO 27001, NIS-2 und DORA – setzen Records Management als Voraussetzung für ein wirksames Sicherheits- und Compliance-Programm voraus. Im Audit ist es ein Standardpruefpunkt: nicht ob die Organisation den Begriff kennt, sondern ob sie ihn nachweislich umsetzt.
Wo Records Management gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| HGB | § 257 | Aufbewahrungspflicht für Handelsbücher und Geschäftsbriefe: 10 Jahre für Buchungsbelege, 6 Jahre für Handelskorrespondenz. |
| AO | § 147 | Aufbewahrungspflichten im Steuerrecht: 10 Jahre für Buchungsunterlagen, 6 Jahre für Geschäftsbriefe. |
| DSGVO | Art. 5 Abs. 1e | Speicherbegrenzung: Personenbezogene Daten dürfen nicht länger als nötig gespeichert werden. |
| ISO 27001:2022 | A.5.33 | Schutz von Aufzeichnungen: Aufzeichnungen müssen vor Verlust, Vernichtung und Fälschung geschützt werden. |
| GoBD | vollständig | Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht formal dokumentiert
- Richtlinie vorhanden, aber nicht genehmigt und nicht kommuniziert
- Keine regelmäßige Überprüfung der Umsetzung
- Fehlende Evidence für den Auditor
Kernelemente in der Praxis
Ein wirksames Records Management-Programm benötigt vier Elemente: erstens eine dokumentierte Richtlinie oder Rollendefinition, die formal genehmigt und kommuniziert wurde; zweitens die operative Umsetzung mit konkreten Massnahmen und Verantwortlichkeiten; drittens regelmäßige Überprüfung der Wirksamkeit – mindestens jährlich; und viertens lueckenlose Evidence für den Audit-Nachweis. Fehlt eines dieser Elemente, entsteht ein klassischer Audit-Befund: Richtlinie vorhanden, aber nicht gelebt, oder gelebt, aber nicht nachgewiesen.
Abgrenzung und Einordnung
Records Management steht nicht allein, sondern in einem Zusammenhang mit anderen Governance-Instrumenten. Die Wirksamkeit hängt davon ab, dass übergeordnete Strukturen – Board Oversight, CISO-Funktion, Compliance-Framework – vorhanden und aktiv sind. Ein Records Management-Programm ohne eingebundenes Leitungsorgan und ohne ausreichende Ressourcen wird formal erfüllt, aber nicht wirksam sein.
Nächste Ebene
Records Management in der Praxis: Umsetzung, Nachweise und Evidence
Was Auditoren bei Records Management konkret prüfen und welche Evidence benötigt wird.